gr00by Opublikowano 20 Września 2014 Zgłoś Udostępnij Opublikowano 20 Września 2014 Witam! Uzytkownik skarzyl sie na zamulajacy sie Internet - zostal odpalony AdwCleaner + TFC. Potem zebrane logi z FRST + OTL + GMER. Czy cos jeszcze trzeba poprawiac? Komputer sluzy glownie do gier... AdwCleanerR0.txt AdwCleanerS0.txt OTL.Txt Extras.Txt FRST.txt Addition.txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 22 Września 2014 Zgłoś Udostępnij Opublikowano 22 Września 2014 Temat sprzątam. Wprawdzie nie ma oznak czynnej infekcji w rozumieniu trojanów, ale w Firefox nadal jest adware (hosts i WebConnect). I są tu znaki dwóch kont: Lukasz i Lukasz_2 (z tego zostały zrobione logi). Do zrobienia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKU\S-1-5-21-3226649207-2173951153-2690345056-1000\...\Run: [Gyazo] => C:\Program Files (x86)\Gyazo\GyStation.exe HKU\S-1-5-21-3226649207-2173951153-2690345056-1001\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] => "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe" /PROMPT /CMPID=JUNE2013_TB HKU\S-1-5-21-3226649207-2173951153-2690345056-1001\...\Run: [AVG-Secure-Search-Update_JUNE2013_HP] => "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_HP.exe" /PROMPT /CMPID=JUNE2013_HP Task: {376A8ED6-3020-4F88-98FE-B2EB378885B4} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{F8AF48B9-6092-43F2-9EC6-1EEEAB8CDD8F}.exe Task: {D5F99704-21A0-4E42-888C-C16DB51AA2FF} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{CC77281B-424D-4E68-B7AA-5409745C1BA5}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{CC77281B-424D-4E68-B7AA-5409745C1BA5}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{F8AF48B9-6092-43F2-9EC6-1EEEAB8CDD8F}.exe GroupPolicyUsers\S-1-5-21-3226649207-2173951153-2690345056-1002\User: Group Policy restriction detected GroupPolicyUsers\S-1-5-21-3226649207-2173951153-2690345056-1001\User: Group Policy restriction detected GroupPolicyUsers\S-1-5-21-3226649207-2173951153-2690345056-1000\User: Group Policy restriction detected StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\Avg_Update_0814tb C:\ProgramData\InstallMate C:\Users\Lukasz\AppData\Roaming\Gyazo C:\Users\Lukasz\Downloads\Setup.exe Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-21-3226649207-2173951153-2690345056-1000\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /f Reg: reg delete "HKU\S-1-5-21-3226649207-2173951153-2690345056-1000\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}" /f Reg: reg delete "HKU\S-1-5-21-3226649207-2173951153-2690345056-1000\Software\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}" /f Reg: reg delete "HKU\S-1-5-21-3226649207-2173951153-2690345056-1000\Software\Microsoft\Internet Explorer\SearchScopes\{C19E4BF8-5BED-4410-98C7-6571A000149A}" /f Reg: reg delete "HKU\S-1-5-21-3226649207-2173951153-2690345056-1000\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc config "Cyfrowy Polsat E3276. RunOuc" start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. AdwCleaner źle naprawił specjalny skrót IE (utata specjalnego atrybutu, nie działa jak należy): Shortcut: C:\Users\Lukasz_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Lukasz_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Usuń błąd WMI numer 10 narzędziem Fix-it: KLIK. 5. Zrób nowy log FRST z opcji Scan (zaznacz Addition) z poziomu tego drugiego konta, o ile to konto jest czynne i nie jest to jakiś odpadek, w przeciwnym razie usuń po prostu tamto konto i powiązany folder z dysku. Dołącz też plik fixlog.txt. . Odnośnik do komentarza
gr00by Opublikowano 22 Września 2014 Autor Zgłoś Udostępnij Opublikowano 22 Września 2014 1. Fixlog.txt zalaczony; 2. Done; 3. Done; 4. Done; 5. To drugie to konto Admina - logi zalaczone; Fixlog.txt Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 22 Września 2014 Zgłoś Udostępnij Opublikowano 22 Września 2014 Dwa wpisy odpadkowe po AVG się nie skasowały, podam poprawki po zweryfikowaniu drugiego konta. Podane tu logi pochodzą z tego samego konta Lukasz_2 co poprzednio, a miałeś zrobić logi z konta Lukasz. . Odnośnik do komentarza
gr00by Opublikowano 22 Września 2014 Autor Zgłoś Udostępnij Opublikowano 22 Września 2014 Niemozliwe - przelogowalem sie i robilem z konta Adminowego (Lukasz_2). Pierwszy skan byl robiony prawoklikiem -> Uruchom jako Administrator na koncie Lukasz - to konto nie ma uprawnien Admina. Moze dlatego w logach widnieje jako Lukasz_2 (efekt zmiany nazwy usera Lukasz_2 na Admin w Panelu Sterowania...)? Odnośnik do komentarza
picasso Opublikowano 22 Września 2014 Zgłoś Udostępnij Opublikowano 22 Września 2014 I są tu znaki dwóch kont: Lukasz i Lukasz_2 (z tego zostały zrobione logi). Pierwszy log: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 12-09-2014 Ran by Lukasz_2 (administrator) on LUKASZ-PC on 20-09-2014 11:59:13 Drugi log: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 12-09-2014 Ran by Lukasz_2 (administrator) on LUKASZ-PC on 22-09-2014 20:38:18 Pierwszy skan byl robiony prawoklikiem -> Uruchom jako Administrator na koncie Lukasz - to konto nie ma uprawnien Admina. Moze dlatego w logach widnieje jako Lukasz_2 (efekt zmiany nazwy usera Lukasz_2 na Admin w Panelu Sterowania...)? I dlatego pierwsze logi zostały zrobione z poziomu konta Lukasz_2. "Uruchom jako Administrator" zmienia kontekst uruchomionego konta. Skan OTL: zawsze robi elewację uprawnień i nie jest możliwe, by przedstawić środowisko konta limitowanego, to był problem w niektórych tematach, musiałam pobierać określone dane ręcznie. FRST natomiast umożliwia zrobienie skanu na limitowanym koncie, tylko przez to że użyłeś "Uruchom jako Administrator" został zmieniony kontekst. Zrób logi FRST z poziomu konta Lukasz, nie uruchamiaj FRST opcją "Uruchom jako Administrator". . Odnośnik do komentarza
gr00by Opublikowano 22 Września 2014 Autor Zgłoś Udostępnij Opublikowano 22 Września 2014 Rozumiem, bede pamietal na przyszlosc. Logi zalaczone. FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 22 Września 2014 Zgłoś Udostępnij Opublikowano 22 Września 2014 Na koncie Lukasz OK, zresztą i Firefox został na nim już zresetowany, mimo że nie było tak naprawdę wiadomo co w nim jest na tym koncie (brak dopasowanych logów). Widać nowy profil o charakterystycznej nazwie tworzonej przez reset: FireFox: ======== FF ProfilePath: C:\Users\Lukasz\AppData\Roaming\Mozilla\Firefox\Profiles\k36r3jq4.default-1411410876524 Ale w związku z tym, że było zamieszanie z kontami i byłam przekonana, że pierwszy zestaw logów pochodzi z w pełni zalogowanego konta Lukasz_2, są wymagane poprawki właśnie na koncie Lukasz_2. Resetowałeś nie ten profil Firefox co należy, czyli konta Lukasz, a to Firefox Lukasz_2 był pokazany w logach jako zaśmiecony i jest nadal. Ten profil trzeba zresetować: FireFox: ======== FF ProfilePath: C:\Users\Lukasz_2\AppData\Roaming\Mozilla\Firefox\Profiles\lvgsm8a7.default Czyli zaloguj się na Lukasz_2 i z poziomu tego konta idą wszystkie akcje: 1. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3226649207-2173951153-2690345056-1001\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] => "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe" /PROMPT /CMPID=JUNE2013_TB HKU\S-1-5-21-3226649207-2173951153-2690345056-1001\...\Run: [AVG-Secure-Search-Update_JUNE2013_HP] => "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_HP.exe" /PROMPT /CMPID=JUNE2013_HP RemoveDirectory: C:\Users\Lukasz\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Lukasz_2\Desktop\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
gr00by Opublikowano 22 Września 2014 Autor Zgłoś Udostępnij Opublikowano 22 Września 2014 Wszystko zrobione, logi zalaczone. FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 23 Września 2014 Zgłoś Udostępnij Opublikowano 23 Września 2014 Akcje wykonane. Z każdego konta po kolei pokasuj pobrane narzędzia, następnie na koncie administracyjnym Lukasz_2 uruchom DelFix i wyczyść foldery Przywracania systemu. Odnośnik do komentarza
gr00by Opublikowano 23 Września 2014 Autor Zgłoś Udostępnij Opublikowano 23 Września 2014 Dziekuje bardzo za pomoc! Odnośnik do komentarza
Rekomendowane odpowiedzi